zoi's blog

ヒアリング事項

January 26, 2020

  • 社内のセキュリティ対策が全くされていない状況だとした、何をどのような順番で整備するか、その順番に関する理由

    • 今対策できてないけど、しないといけないと認識しているセキュリティ対策
    • その対策が後手になっている理由、その対策の必要性はいつどこでどう認識したのか
  • 運用しているサービスのセキュリティ対策が全くされていない状況だとした、何をどのような順番で整備するか、その順番に関する理由

    • 今対策できてないけど、しないといけないと認識しているセキュリティ対策
    • その対策が後手になっている理由、その対策の必要性はいつどこでどう認識したのか
  • 日頃は運用業務が中心だと思うが、新規で何か対策をするのはどれくらいの頻度で行うのか

    • 運用上発生する他部署との関係性、やり取りなど(事業責任者/dev/決裁者)

      • どの程度の頻度で、どんな事をやり取りするのか
  • 下記それぞれにおいて、具体的には何を行っているか

    • (1) 一般的な情シス業務全般、機器やアカウント管理等
    • (2) PCへのセキュリティ対策および端末管理、端末のエンドポイントセキュリティ等
    • (3) 副業・リモートワークにおけるアクセス状況の管理
    • (4) VPN等を通じた社内ネットワークの整備
    • (5) SaaSなどのクラウドサービスの導入、ID管理
    • (6) インフラサーバーにおけるAWSなどの利用
    • (8) 標的型攻撃 / 内部不正への対応体制構築、各種定期診断
  • 外部サービスを利用するのか、自社構築を行うのか、その判断基準
  • 外部サービスを利用する時の社内調整プロセス

    • 既にきまった予算内からか新規予算を取るのか
    • 導入までの時間軸
    • 稟議で大変な事
    • POCはやるか、やる場合はどの程度の時間をかけて、何を持ってOKとするのか
  • 外部サービスを利用する時の選定プロセス

    • 能動的
    • 問い合わせするのか?
    • 問い合わせ先はどう探すか?

      • 比較はどうするのか
    • 対策が顕在化した上でアポか、ふわっとした段階でアポか
    • 受動的
    • 商談聞いてから同判断するのか
    • 他の製品はどういう時に調べるのか、調べないなら何故か

      • どういう風に探すのか
  • 自社構築を行う際の時の社内調整プロセス(開発工数はどこから取るのか)
  • 社内システム(EIPなど)の有無

    • 認証基盤は用意しているか、その理由
    • VPN経由などでしかアクセスできないなどしているのか
  • サービスに関するシステムの有無

    • セキュリティ対策・品質管理は何を行っていて、何を意図的に実施していないか
    • AWSの設定,DDoS,インジェクション,CI,アプリケーションログ監視,2FAなど
    • 導入している、する場合監視を行うのは、誰がどの程度の頻度で行うのか
    • 上記それぞれを導入検討する場合は何が導入する上でネックになるか

      • 2FAを導入する上で一番ネックになっているのは、事業責任者やPMとの折り合いか
    • 2段階認証の必要性が高まっている理由の把握
    • リスト型攻撃の認知
    • リスト型攻撃の原因把握

Kyle Mathews

SMB向けのマーケットプレイス事業を売却後、エンプラ向けのSaaSをやってます。元エンジニア:Ruby / Go / Nuxt / ReactNative